補救OS設定錯誤

適用於雲端的 Microsoft Defender 提供安全性建議，以改善組織安全性狀態並降低風險。 降低風險的重要元素是機器強化。

適用於雲端的 Defender 會根據 所提供的計算安全性基準評估操作系統設定Microsoft雲端安全性效能評定 （MCSB） 。 計算機資訊是使用計算機上 Azure 原則 計算機組態延伸模組（先前稱為客體設定）進行評量。 深入了解

本文說明如何檢閱評量所做的建議。

必要條件

需求	詳細資料
計劃	必須啟用適用於伺服器的 Defender 方案 2
副檔名	Azure 原則 機器組態必須安裝在機器上。

這項功能先前使用Log Analytics代理程式 （也稱為 Microsoft 監視代理程式 #MMA） 來收集資訊。 如果您仍然使用 MMA，您可能會收到相同機器的重複建議。 若要避免這種情況，您可以在機器上停用 MMA。

檢閱和補救 OS 基準建議

1. 在適用於雲端的 Defender 中，開啟 [建議] 頁面。

2. 選取相關建議。

   • 針對 Windows 計算機，應補救 Windows 機器上安全性設定中的弱點（由客體設定提供電源）。

   • 對於 Linux 機器，應補救您 Linux 機器上的資訊安全設定弱點 (由來賓設定技術支援)

     

3. 在 [建議詳細數據] 頁面上，您可以看到受影響的資源，以及特定的安全性結果。 修復建議。

查詢建議

適用於雲端的 Defender 使用 Azure Resource Graph 做為 API，並運用入口網站查詢來查詢建議資訊。 您可以運用這些資源來建立自己的查詢以擷取資訊。

您可以瞭解如何在 Azure Resource Graph 中檢閱建議。

以下是您可以使用的兩項範例查詢：

• 查詢特定資源的所有狀況不良規則

  Securityresources 
  | where type == "microsoft.security/assessments/subassessments" 
  | extend assessmentKey=extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) 
  | where assessmentKey == '1f655fb7-63ca-4980-91a3-56dbc2b715c6' or assessmentKey ==  '8c3d9ad0-3639-4686-9cd2-2b2ab2609bda' 
  | parse-where id with machineId:string '/providers/Microsoft.Security/' * 
  | where machineId  == '{machineId}'
  

• 所有狀況不良的規則，以及每條規則造成的狀況不良機器數量

  securityresources 
  | where type == "microsoft.security/assessments/subassessments" 
  | extend assessmentKey=extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) 
  | where assessmentKey == '1f655fb7-63ca-4980-91a3-56dbc2b715c6' or assessmentKey ==  '8c3d9ad0-3639-4686-9cd2-2b2ab2609bda' 
  | parse-where id with * '/subassessments/' subAssessmentId:string 
  | parse-where id with machineId:string '/providers/Microsoft.Security/' * 
  | extend status = tostring(properties.status.code) 
  | summarize count() by subAssessmentId, status
  

下一步

深入瞭解 Azure Resource Graph 的查詢語言。